Schritte zum Zuweisen einer Azure-Rolle

Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren. In diesem Artikel werden die allgemeinen Schritte zum Zuweisen von Azure-Rollen über das Azure-Portal, mit Azure PowerShell, der Azure-Befehlszeilenschnittstelle oder der REST-API beschrieben.

Schritt 1: Ermitteln, wer Zugriff benötigt

Zuerst müssen Sie feststellen, wer Zugriff benötigt. Sie können eine Rolle einem Benutzer, einer Gruppe, einem Dienstprinzipal oder einer verwalteten Identität zuweisen. Dies wird auch als Sicherheitsprinzipal bezeichnet.

• User (Benutzer) – Eine Person, die ein Profil in Microsoft Entra ID hat. Sie können auch bei anderen Mandanten Rollen zu Benutzern zuweisen. Informationen zu Benutzern in anderen Organisationen finden Sie unter Microsoft Entra B2B.
• Gruppe – Eine Gruppe von Benutzenden, die in Microsoft Entra ID erstellt wurden. Wenn Sie einer Gruppe eine Rolle zuweisen, verfügen alle Benutzer in dieser Gruppe über diese Rolle.
• Dienstprinzipal: Hierbei handelt es sich um eine Sicherheitsidentität, die von Anwendungen oder Diensten für den Zugriff auf bestimmte Azure-Ressourcen verwendet wird. Sie können sich diesen als Benutzeridentität (Benutzername und Kennwort oder Zertifikat) für eine Anwendung vorstellen.
• Verwaltete Identität – Eine Identität in Microsoft Entra ID, die automatisch von Azure verwaltet wird. In der Regel verwenden Sie verwaltete Identitäten bei der Entwicklung von Cloudanwendungen, um die Anmeldeinformationen für die Authentifizierung bei Azure-Diensten zu verwalten.

Schritt 2: Auswählen der geeigneten Rolle

Berechtigungen sind in einer Rollendefinition zusammengefasst. Sie wird in der Regel einfach Rolle genannt. Sie können aus einer Liste von verschiedene vordefinierten Rollen auswählen. Wenn die integrierten Rollen den besonderen Ansprüchen Ihrer Organisation nicht genügen, können Sie Ihre eigenen benutzerdefinierten Rollen erstellen.

Rollen sind in Stellenfunktionsrollen und privilegierte Administratorrollen unterteilt.

Stellenfunktionsrollen

Rollen von Stellenfunktionen ermöglichen die Verwaltung bestimmter Azure-Ressourcen. Mit der Rolle Mitwirkender von virtuellen Computern können Benutzer beispielsweise virtuelle Computer erstellen und verwalten. Wählen Sie mit folgenden Schritten die entsprechende Rolle der Stellenfunktion aus:

1. Beginnen Sie mit dem umfassenden Artikel Integrierte Azure-Rollen. Die Tabelle am Anfang des Artikels stellt einen Index für die Details weiter unten in diesem Artikel dar.

2. Navigieren Sie in diesem Artikel zur Dienstkategorie (z. B. Compute, Speicher, Datenbanken) für die Ressource, der Sie Berechtigungen erteilen möchten. Die einfachste Möglichkeit, das Gesuchte zu finden, ist die Suche nach einem relevanten Schlüsselwort, etwa „Blob“, „virtueller Computer“ usw.

3. Überprüfen Sie die Rollen, die für die Dienstkategorie aufgeführt werden, und identifizieren Sie die jeweils erforderlichen Aktionen. Beginnen Sie auch hier immer mit der restriktivsten Rolle.

   Wenn ein Sicherheitsprinzipal z. B. Blobs in einem Azure Storage-Konto lesen muss, aber keinen Schreibzugriff benötigt, wählen Sie Storage-Blobdatenleser anstelle von Mitwirkender an Storage-Blobdaten (und definitiv nicht die Rolle Besitzer von Speicherblobdaten auf Administratorebene) aus. Sie können die Rollenzuweisungen später jederzeit nach Bedarf aktualisieren.

4. Wenn Sie keine geeignete Rolle finden, können Sie eine benutzerdefinierte Rolle erstellen.

Privilegierte Administratorrolle

Privilegierte Administratorrollen sind Rollen, die privilegierten Administratorzugriff gewähren, z. B. die Möglichkeit, Azure-Ressourcen zu verwalten oder anderen Benutzer*innen Rollen zuzuweisen. Die folgenden Rollen gelten als privilegierte Rollen und gelten für alle Ressourcentypen.

Azure-Rolle	Berechtigungen
Besitzer	Vollzugriff zum Verwalten aller Ressourcen gewähren Rollen in Azure RBAC zuweisen
Mitwirkender	Vollzugriff zum Verwalten aller Ressourcen gewähren Zuweisung von Rollen in Azure RBAC nicht möglich Verwalten von Zuweisungen in Azure Blueprints oder Freigeben von Imagekatalogen nicht möglich
Administrator für Reservierungen	Verwaltet alle Reservierungen in einem Mandanten. Zuweisen von Rollen in Azure RBAC für Reservierungen
Administrator:in für rollenbasierte Zugriffssteuerung	Verwalten des Benutzerzugriffs auf Azure-Ressourcen Rollen in Azure RBAC zuweisen Rolle „Besitzer“ sich selbst oder anderen zuweisen Der Zugriff kann nicht auf andere Arten verwaltet werden, z. B. mit Azure Policy
Benutzerzugriffsadministrator	Verwalten des Benutzerzugriffs auf Azure-Ressourcen Rollen in Azure RBAC zuweisen Rolle „Besitzer“ sich selbst oder anderen zuweisen

Bewährte Methoden für die Verwendung der Zuweisungen privilegierter Administratorrollen finden Sie unter Bewährte Methoden für Azure RBAC. Weitere Informationen finden Sie unter Definition der Rolle „Administrator für privilegierte Rollen“.

Schritt 3: Identifizieren des erforderlichen Bereichs

Ein Bereich ist der für den Zugriff geltende Ressourcensatz. In Azure können Sie auf vier Ebenen einen Bereich angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert. Mit jeder Hierarchieebene wird der Bereich spezifischer. Sie können Rollen auf jeder dieser Bereichsebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie umfassend die Rolle angewendet wird. Niedrigere Ebenen erben die Rollenberechtigungen von höheren Ebenen.

Wenn Sie eine Rolle in einem übergeordneten Bereich zuweisen, werden diese Berechtigungen an die untergeordneten Bereiche vererbt. Zum Beispiel:

• Wenn Sie die Rolle Leser einem Benutzer im Bereich der Verwaltungsgruppe zuweisen, kann dieser Benutzer alles in allen Abonnements in der Verwaltungsgruppe lesen.
• Wenn Sie einer Gruppe im Abonnementbereich die Rolle Abrechnungsleser zuweisen, können die Mitglieder dieser Gruppe Abrechnungsdaten für alle Ressourcengruppen und Ressourcen im Abonnement lesen.
• Wenn Sie einer Anwendung im Ressourcengruppenkontext die Rolle Mitwirkender zuweisen, kann diese Ressourcen aller Typen in dieser Ressourcengruppe verwalten, jedoch keine anderen Ressourcengruppen des Abonnements.

Es hat sich bewährt, Sicherheitsprinzipale die geringstmöglichen Berechtigungen zu erteilen, die sie zum Ausführen ihrer Aufgaben benötigen. Vermeiden Sie es, umfangreichere Rollen in umfassenderen Bereichen zuzuweisen, auch wenn dies anfänglich bequemer erscheint. Durch das Einschränken von Rollen und Bereichen begrenzen Sie die Ressourcen, die gefährdet sind, wenn der Sicherheitsprinzipal kompromittiert wird. Weitere Informationen finden Sie unter Grundlagen des Bereichs für Azure RBAC.

Schritt 4: Überprüfen der Voraussetzungen

Zum Zuweisen von Rollen müssen Sie als Benutzer angemeldet sein, dem eine Rolle mit Schreibberechtigung für Rollenzuweisungen (z. B. Administrator für rollenbasierte Zugriffssteuerung) in dem Bereich zugewiesen ist, in dem Sie die Rolle zuweisen möchten. Ebenso müssen Sie zum Entfernen einer Rollenzuweisung über die Berechtigung zum Löschen von Rollenzuweisungen verfügen.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

Wenn Ihr Benutzerkonto nicht über Berechtigungen zum Zuweisen einer Rolle in Ihrem Abonnement verfügt, wird eine Fehlermeldung mit dem Hinweis angezeigt, dass Ihr Konto keine Berechtigung zum Ausführen der Aktion „Microsoft.Authorization/roleAssignments/write“ besitzt. Wenden Sie sich in diesem Fall an die Administratoren Ihres Abonnements, da sie die Berechtigungen in Ihrem Namen zuweisen können.

Wenn Sie einen Dienstprinzipal zum Zuweisen von Rollen verwenden, erhalten Sie möglicherweise die Fehlermeldung „Unzureichende Berechtigungen zum Durchführen des Vorgangs“. Dieser Fehler liegt wahrscheinlich daran, dass Azure versucht, die Identität der zugewiesenen Person in Microsoft Entra ID nachzuschlagen, und der Dienstprinzipal Microsoft Entra ID nicht standardmäßig lesen kann. In diesem Fall müssen Sie dem Dienstprinzipal Berechtigungen zum Lesen von Daten im Verzeichnis erteilen. Wenn Sie Azure CLI verwenden, können Sie alternativ die Rollenzuweisung erstellen, indem Sie die Objekt-ID der zugewiesenen Person verwenden, um das Microsoft Entra-Lookup zu überspringen. Weitere Informationen finden Sie unter Behandeln von Problemen bei Azure RBAC.

Schritt 5: Zuweisen einer Rolle

Sobald Sie den Sicherheitsprinzipal, die Rolle und den Bereich kennen, können Sie die Rolle zuweisen. Sie können über das Azure-Portal, Azure PowerShell, die Azure-Befehlszeilenschnittstelle, Azure SDKs oder REST-APIs Rollen zuweisen.

Jedes Abonnement kann über bis zu 4000 Rollenzuweisungen verfügen. Dieser Grenzwert schließt Rollenzuweisungen im Abonnement, in der Ressourcengruppe und im Ressourcenbereich ein. Berechtigte Rollenzuweisungen und für die Zukunft geplante Rollenzuweisungen zählen nicht zu diesem Grenzwert. Jede Verwaltungsgruppe kann bis zu 500 Rollenzuweisungen enthalten. Weitere Informationen finden Sie unter Behandeln von Azure RBAC-Grenzwerten.

In den folgenden Artikeln finden Sie ausführliche Anleitungen zum Zuweisen von Rollen.

• Zuweisen von Azure-Rollen über das Azure-Portal
• Zuweisen von Azure-Rollen mithilfe von Azure PowerShell
• Zuweisen von Azure-Rollen mithilfe der Azure-Befehlszeilenschnittstelle
• Zuweisen von Azure-Rollen mithilfe der REST-API

Nächste Schritte

• Tutorial: Einem Benutzer über das Azure-Portal Zugriff auf Azure-Ressourcen gewähren